ОГЛАВЛЕНИЕ:

1. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3. ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ДАННЫЕ ОБРАБАТЫВАЮТСЯ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА. ОБЯЗАННОСТИ РАБОТНИКОВ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. УПОЛНОМОЧЕННЫЕ ЛИЦА. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С ВИДЕОНАБЛЮДЕНИЕМ
8. КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Настоящее Положение об обработке персональных данных (далее – «Положение») в ИООО «ЭПАМ Системз», зарегистрированном по адресу: Республика Беларусь, г. Минск, 220084, ул. Академика Купревича, д. 1, корп. 1, комн. 110, адрес электронной почты: [email protected] и [email protected] (далее – «Оператор»), разработано и применяется Оператором в целях реализации требований законодательства о порядке, условиях обработки и защиты персональных данных, а также защиты прав, свобод и законных интересов субъектов персональных данных, и в соответствии с Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Трудовым кодексом Республики Беларусь от 26.07.1999 № 296-З (далее также – «ТК РБ»), Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – «Закон о защите персональных данных»), Законом Республики Беларусь от 21.07.2008 № 418-З «О регистре населения», Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь.

1.2. Оператор уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.

1.3. Утверждение Положения является одной из принимаемых Оператором мер по защите персональных данных, предусмотренных статьей 17 Закона о защите персональных данных.

1.4. Положение разъясняет Субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у Субъектов персональных данных права и механизм их реализации.

1.5. Положение не применяется к обработке персональных данных через платформу и мобильное приложение Aibolit.

1.6. Персональные данные могут быть использованы Оператором в научных или иных исследовательских целях после обязательного обезличивания таких персональных данных, в частности, для:

• подготовки и публикации отчетов о своей деятельности;
• подготовки и дачи разъяснений по вопросам применения законодательства о персональных данных в деятельности Оператора;
• подготовки и осуществления публикаций и выступлений, связанных с исполнением работниками Оператора своих должностных обязанностей.

1.7. Оператор осуществляет обработку только тех Персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.

1.8. Положение определяет:

• политику Оператора в области сбора и обработки Персональных данных;
• принципы сбора и обработки Оператором персональных данных;
• цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных;
• порядок, условия и процедуры обработки персональных данных, меры защиты персональных данных;
• права и обязанности субъекта персональных данных и оператора, обязанности работников оператора при обработке персональных данных;
• сведения об уполномоченных лицах, трансграничной передаче персональных данных;
• данные о мерах контроля и ответственности в области защиты персональных данных.

1.9. В настоящем Положении используются следующие термины и определения:

1.9.1. Под «Персональными данными» понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, обрабатываемая Оператором для достижения целей, предусмотренных настоящим Положением. Состав Персональных данных содержится в главе 3 Положения.

1.9.2. Под «Обработкой Персональных данных» понимается любое действие или совокупность действий, совершаемые с Персональными данными с использованием средств автоматизации или без использования таких средств, в том числе сбор, систематизация, хранение, изменение, использование, распространение, предоставление, включая Трансграничную передачу (в том числе в государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), обезличивание, блокирование, удаление.

1.9.3. Под «Защитой персональных данных» понимается комплекс мер (правовых, организационных, технических), направленных на недопущение предоставления неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также других неправомерных действий, а также иные меры, предусмотренные законодательством.

1.9.4. Под «Юридическими лицами ЭПАМ» понимаются юридические лица, входящие в группу компаний EPAM, актуальный перечень которых приведен по ссылке: https://privacy.epam.com/core/interaction/showpolicy?type=CommonEpamAddress&client=&country=RU, а также доступен по QR-коду:

1.9.5. Под «Оператором» понимается Иностранное общество с ограниченной ответственностью «ЭПАМ Системз», расположенное по адресу Республика Беларусь, г. Минск, 220084, ул. Академика Купревича, д. 1, корп. 1, комн. 110, зарегистрированное и действующее в качестве юридического лица в соответствии с законодательством Республики Беларусь, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных.

1.9.6. Под «Субъектами персональных данных» (далее, в зависимости от численности, также «Субъекты персональных данных», «Субъект персональных данных», «Субъекты», «Субъект») понимаются любые физические лица, в отношении которых осуществляется обработка персональных данных Оператором. К ним, в частности, относятся работники Оператора, их родственники, контрагенты Оператора, обучающиеся, проходящие практику у Оператора, посетители офисов Оператора, представители третьих лиц, с которыми Оператор взаимодействует в процессе осуществления своей хозяйственной деятельности, лица, являющиеся одной из сторон гражданско-правовых договоров, заключенных Оператором, потенциальные клиенты или контрагенты Оператора, их представители, кандидаты или соискатели на занятие вакантных должностей Оператора, участники Оператора или аффилированные лица Оператора, иные физические лица, персональные данные которых могут обрабатываться Оператором в соответствии с настоящим Положением или действующим законодательством Республики Беларусь.

1.9.7. Под «Конфиденциальностью персональных данных» понимается обязательное для соблюдения требование не допускать несанкционированный или случайный доступ к персональным данным, их изменение, блокирование, копирование, распространение, предоставление, удаление, а также иные неправомерные действия в отношении персональных данных.

Персональные данные, кроме обезличенных и общедоступных персональных данных, по режиму доступа относятся к конфиденциальной информации, доступ к которой ограничен.

1.9.8. Под «Информационной системой» понимается информационная система, созданная и/или используемая с целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ, в которой Оператор и/или Юридические лица ЭПАМ хранят и/или обрабатывают персональные данные. К таким Информационным системам, в частности, но не ограничиваясь, относятся системы, указанные в п. 3.5 Положения.

1.9.9. Под «Соискателями» понимаются физические лица, с которыми Оператором (непосредственно либо через третье лицо) осуществляется взаимодействие (рассмотрение резюме, проведение собеседований и переговоров, предоставление и получения тестовых заданий и т.п.) с целью принятия решения о трудоустройстве таких Субъектов у Оператора либо у Юридических лиц ЭПАМ. Персональные данные таких Соискателей могут быть получены Оператором следующими способами:

1) получение из общедоступных источников персональных данных, распространенных там самим Субъектом, или с его согласия, или в соответствии с требованиями законодательных актов, и источников, где персональные данные раскрыты неопределенному кругу лиц (в том числе размещение резюме в сети Интернет, информации о себе в социальных сетях и т.п.);

2) получение персональных данных от самого Субъекта в ходе взаимодействия с ним по телефону, электронной почте, с помощью иных средств коммуникации, а также при проведении собеседования с Субъектом (в том числе очного либо дистанционного, посредством сети Интернет), включая аудио- и видеозапись собеседований;

3) получение персональных данных о Субъекте от третьего лица, с которым у Оператора заключен договор с целью подбора таким третьим лицом персонала для Оператора либо юридических лиц ЭПАМ. В таком случае за соблюдение всех требований законодательства в области обработки персональных данных, а также за получение от Субъекта всех необходимых согласий, в том числе на передачу его персональных данных Оператору, отвечает такое третье лицо.

1.9.10. Под «Практикантами» в Положении понимаются физические лица, получающие образование любого вида и уровня, по любым образовательным программам в организациях, осуществляющих образовательную деятельность, и проходящие практику у Оператора.

1.9.11. Под «Сайтом» в настоящем Положении понимается любой сайт в сети Интернет (интернет-ресурс), администрируемый Оператором или Юридическим лицом ЭПАМ.

1.9.12. Под «Родственниками» понимаются родственники по прямой восходящей и нисходящей линии: родители, усыновители (удочерители) и дети (в том числе усыновленные, удочеренные); дедушки, бабушки и внуки; полнородные и неполнородные (имеющие общих отца или мать) братья и сестры; супруг (супруга); вышеуказанные родственники супруга (супруги).

1.9.13. Под «Согласием» понимается свободное, однозначное, информированное выражение воли Субъекта персональных данных, посредством которого он разрешает обработку своих персональных данных. Согласие Субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме, позволяющей установить факт получения согласия Субъекта персональных данных.

1.9.14. Под «Уполномоченным лицом» понимается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, либо на основании договора с Оператором осуществляют обработку Персональных данных от имени Оператора или в его интересах.

1.9.15. Под «Трансграничной передачей персональных данных» понимается передача персональных данных на территорию иностранного государства.

1.10. При отсутствии в настоящей главе каких-либо терминов, используемых в процессе сбора и обработки Персональных данных, используются термины и их определения в значении, определенном Законом о защите персональных данных. В случае возникновения противоречий при использовании терминов и определений Положения с терминами и определениями, содержащимися в Законе о защите персональных данных, применяются положения Закона о защите персональных данных.

1.11. Все вопросы, связанные с обработкой Персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Республики Беларусь в области персональных данных.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка Персональных данных Оператором основывается на принципах:

2.1.1. законности обработки персональных данных, осуществления такой обработки только при наличии правовых оснований либо с согласия Субъекта;

2.1.2. соразмерности обработки персональных данных заявленным целям обработки и обеспечения на всех этапах такой обработки справедливого соотношения интересов всех заинтересованных лиц;

2.1.3. ограничения обработки персональных данных достижением конкретных, заранее заявленных законных целей и сроками, указанными в согласии Субъекта, недопустимости обработки персональных данных, не совместимой с первоначально заявленными целями их обработки, прекращения обработки персональных данных, а также осуществления их удаления или блокирования при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;

2.1.4. соответствия содержания и объема обрабатываемых персональных данных заявленным целям их обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

2.1.5. хранения персональных данных в форме, позволяющей идентифицировать Субъекта персональных данных;

2.1.6. прозрачности обработки персональных данных;

2.1.7. достоверности обрабатываемых персональных данных, их достаточности для целей обработки;

2.1.8. обеспечения надлежащей защиты персональных данных на всех этапах их обработки, включая техническую и криптографическую защиту персональных данных.

2.2. Юридические лица ЭПАМ и иные лица, получающие доступ к персональным данным на основании гражданско-правового договора, заключают с Оператором соглашение, направленное на защиту персональных данных (в качестве отдельного документа или пункта/положений в договоре).

3. ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ДАННЫЕ ОБРАБАТЫВАЮТСЯ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ 

3.1. Оператор осуществляет обработку персональных данных Субъектов в целях, объеме, на правовых основаниях, в сроки и в отношении отдельных категорий Субъектов персональных данных, указанных в Реестре обработки персональных данных, актуальная версия которого размещена по ссылке: https://www.epam.com/data-processing-policy-by/registry-of-epam-s-business-processes. Порядок ведения Реестра обработки персональных данных устанавливается в Положении о реестре обработки персональных данных, утвержденном руководителем Оператора.

3.2. В зависимости от конкретной цели обработки и бизнес-процесса, отраженного в Реестре обработки персональных данных, при осуществлении которого обрабатываются персональные данные, они включают следующую информацию:

3.2.1. основную информацию о Субъекте, такую как его (ее) фамилию, собственное имя, отчество, идентификационный номер, данные о регистрации по месту жительства и (или) месту пребывания, автобиографию, данные документа, удостоверяющего личность (включая паспорт, вид на жительство, удостоверение беженца, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца, предусмотренный законодательством Республики Беларусь или признаваемый в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность) и др.;

3.2.2. сведения о трудовой деятельности, имеющемся опыте работы, выполняемых работах/оказываемых услугах, включая место работы, дату трудоустройства, дату постановки на учет в качестве безработного, дату увольнения, дату снятия с учета в качестве безработного, всю информацию, содержащуюся в трудовом договоре и трудовой книжке, в том числе о предыдущих местах работы, даты начала и окончания работы, должность, подразделение, сведения о поощрениях и награждениях, реквизиты подтверждающих документов, рекомендации, всю информацию, содержащуюся в гражданско-правовом договоре (вид, объем выполняемых работ, оказываемых услуг, место выполнения работ, оказания услуг, текущий проект, в рамках которого выполняются работы, оказываются услуги), а также сведения о желаемом уровне дохода, о текущих условиях, характере и виде работы у Оператора (профессия, должность, подразделение, табельный номер, должностной оклад или тарифная ставка, доплаты, надбавки, поощрительные выплаты, место работы, трудовая функция, должностные обязанности, срок начала работы и трудового договора, режим труда и отдыха, трудовой стаж (стаж работы), режим занятости, сведения о непосредственном и вышестоящем руководителе, номере рабочей станции, данные по отпускам и отсутствию на работе по иным причинам, листки нетрудоспособности и справки о временной нетрудоспособности, сведения о поощрениях, награждениях и взысканиях), информация о командировках/иных поездках по заданию Оператора (сроках, продолжительности, направлениях), о готовности к командировкам и релокации, результаты оценки уровня компетентности и проверки знаний (по итогам аттестации, собеседований, обратной связи, интервью), проведенной работниками Оператора, результаты (итоги) и ход собеседования, интервью, переговоров, проведенных работниками Оператора с Субъектом персональных данных, в том числе аудио- и видеозапись собеседования, интервью, переговоров, характеристика Субъекта, результат выполнения Субъектом тестовых заданий Оператора, переписка по электронной почте с представителями Оператора или других Юридических лиц ЭПАМ; иные сведения о работе, указание которых предусмотрено унифицированными формами первичной учетной документации по учету труда и его оплаты (в том числе личным листком по учету кадров), приказы по личному составу, графики отпусков, командировочные удостоверения, табель учета рабочего времени, расчетные и платежные ведомости и др., включая копии всех вышеуказанных документов, отзывы предыдущих клиентов, работодателей, рекомендации с прежних мест работы, контактные данные рекомендателей;

3.2.3. сведения об образовании, навыках и социальном статусе, в том числе опыт работы, сведения об участии в проектах, об имеющихся навыках, компетенциях, профессиональные сертификаты, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании), уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной подготовке/переподготовке, реквизиты подтверждающих документов, семейное положение и состав семьи, копии свидетельств о рождении, свидетельств о браке, смерти, кроме того по инициативе Субъекта могут обрабатываться следующие категории персональных данных: сведения об инвалидности (Субъекта, членов его (ее) семьи), в том числе содержащиеся в справке, подтверждающей факт установления инвалидности, индивидуальной программе реабилитации инвалида, иные сведения и документы, подтверждающие особый статус Субъекта и членов его (ее) семьи, позволяющий получить предусмотренные законодательством или локальными актами Оператора льготы, компенсации и т.п., включая копии всех вышеуказанных документов, сведения о месте и периоде прохождения практики, характере деятельности, осваиваемой в ходе прохождения практики, сведения о курсах, тренингах, семинарах, в которых принял участие Субъект в период работы у Оператора/Юридических лиц ЭПАМ;

3.2.4. сведения о воинском учете, об отношении к воинской обязанности, данные об исполнении воинской обязанности: дата приема на воинский учет, дата снятия (исключения) с воинского учета, данные о воинском звании и военно-учетной специальности и др. (включая все сведения, содержащиеся в военном билете и других документах воинского учета, а также копии вышеуказанных документов);

3.2.5. контактные данные, в том числе адрес электронной почты, номер телефона, контакты в чатах и других электронных ресурсах, ссылки на профили в социальных сетях, информация из социальной сети, к которой Субъект предоставил(а) доступ, а также информация, которую Субъект опубликовал(а), сделав общедоступной, информация о заявках/откликах на вакансии, сведения, собираемые в автоматическом режиме: IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, тип устройств, тип операционной системы и компьютера, мобильного браузера, история браузера, сведения о действиях на Сайте, файлы «cookies»;

3.2.6. финансовую информацию, в том числе сведения о доходах (включая размер заработной платы, аванса, доплаты, надбавки, компенсации, меры поощрения, размер вознаграждения за выполняемые работы, оказываемые услуги и др.), сведения, содержащиеся в расчетном листке, сведения о пенсионных выплатах и отчислениях, взносах на все виды страхования, пособиях, социальных выплатах, уплачиваемых налогах и сборах, налоговых обязательствах; размерах премий и других выплат, уплачиваемых алиментах, предоставлении материальной помощи, банковские реквизиты расчетного счета, статус налогового резидента, сведения о регистрации в качестве индивидуального предпринимателя, УНП, включая копии всех вышеуказанных документов;

3.2.7. информацию о физических данных Субъекта и медицинских услугах, включая фотографии и видеоматериалы, которые содержат изображения Субъекта, информацию о наименовании медицинских услуг (вид, стоимость, организация), оказанных Субъекту (родственникам Субъекта) за счет Оператора по договорам, заключенным между Оператором и медицинскими центрами/ учреждениями здравоохранения (далее – «медицинские центры»), записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, включая копии всех вышеуказанных документов;

3.2.8. информацию о семейном положении, родителях, опекунах, попечителях, супруге, ребенке (детях) физического лица;

3.2.9. любую иную информацию о Субъекте персональных данных, которая может содержаться в документах и/или которую Субъект предоставил по собственному желанию в соответствии с описанными в Реестре обработки персональных данных целями обработки.

3.3. Оператор не осуществляет обработку биометрических и генетических персональных данных.

3.4. С целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных Оператор внедряет систему видеонаблюдения (видеосъемки) в помещениях Оператора. Обработка и защита персональных данных в связи с осуществлением видеонаблюдения регулируются в главе 7 настоящего Положения.

3.5. Оператор в своей деятельности эксплуатирует информационные ресурсы (системы) для обеспечения надлежащей коммуникации между своими работниками и работниками Юридических лиц ЭПАМ в рамках одной группы компаний, а также для повышения эффективности и информационного обеспечения процессов и процедур, совершаемых в отношении работников Оператором в соответствии с предоставленными ему правами и возложенными на него обязанностями в качестве работодателя согласно трудовому и иному применимому законодательству. Оператор ведет перечень информационных ресурсов (систем), содержащих персональные данные, в соответствии с требованиями Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных».

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных работников Оператора осуществляется в соответствии с требованиями Положения, иных локальных правовых актов Оператора и законодательства Республики Беларусь.

4.2. Источниками получения персональных данных Субъектов персональных данных являются:

4.2.1. информация, документы, содержащие персональные данные, предоставленные Оператору самим Субъектом персональных данных;

4.2.2. информация, документы, содержащие персональные данные, полученные от третьих лиц, осуществляющих обработку персональных данных на законных основаниях, в том числе от родственников Субъектов, государственных органов, других организаций, индивидуальных предпринимателей, физических лиц;

4.2.3. информация, содержащая персональные данные, полученная из общедоступных источников персональных данных и источников, где персональные данные раскрыты неопределенному кругу лиц, в том числе:

1) страницы в социальных сетях в сети Интернет (LinkedIn, Facebook, Instagram и т.п.);

2) порталы для поиска работы, где Субъекты самостоятельно размещают свои резюме, персональные данные;

3) внутренние Информационные системы и Сайты Оператора и Юридических лиц ЭПАМ, где Оператор, Юридические лица ЭПАМ собирают, хранят и обрабатывают персональные данные, а работники, Подрядчики, Практиканты, иные Субъекты сами вправе указать либо не указывать некоторые из своих персональных данных;

4) другие общедоступные источники персональных данных;

4.2.4. информация, документы, иные данные, содержащие персональные данные и созданные/полученные в процессе выполнения трудовых и гражданско-правовых договоров, заключенных между Субъектами персональных данных и Оператором, а также в ходе осуществления иного взаимодействия между Оператором и Субъектами;

4.2.5. иные законные источники получения персональных данных.

4.3. Оператор осуществляет следующие действия с персональными данными: сбор, систематизация, хранение, накопление, изменение, использование, распространение, предоставление, обезличивание, блокирование, удаление персональных данных, размещение в общедоступных источниках персональных данных и распространение (в том числе в сети Интернет), в результате чего персональные данные доступны неограниченному кругу лиц на территории всех стран мира, а также передача персональных данных: (i) по сетям связи общего пользования, (ii) по информационно-телекоммуникационным сетям международного информационного обмена, (iii) трансграничная передача персональных данных на территорию стран, где находятся Юридические лица ЭПАМ.

4.4. Оператор применяет для обработки Персональных данных следующие способы: (i) обработка с использованием средств автоматизации; (ii) обработка без использования средств автоматизации (неавтоматизированная); (iii) смешанная обработка; (iv) обработка с получением персональных данных, существующих в электронном виде, путем копирования и иными способами, не уничтожающими персональные данные; (v) хранение персональных данных в бумажном виде, а также в электронном виде на серверах Оператора, Юридических лиц ЭПАМ, их клиентов, заказчиков (в том числе привлеченных ими консультантов (аудиторов, вендоров)), контрагентов, которым такие персональные данные переданы на законном основании; (vi) просмотр персональных данных с целью определения, содержится ли в них информация, относящаяся к цели сбора и обработки персональных данных; (vii) предоставление доступа к персональным данным лицам, которым они необходимы для целей выполнения своих должностных обязанностей, обязательств в рамках заключенного с Оператором гражданско-правового договора, в том числе работникам, Подрядчикам, Практикантам Оператора и Юридических лиц ЭПАМ; (viii) предоставление доступа к персональным данным, размещенным в общедоступных источниках и источниках, где персональные данные раскрыты неограниченному кругу лиц на территории всех стран мира; (ix) другие способы обработки, соответствующие целям сбора и обработки персональных данных.

4.5. Оператор может обрабатывать документы, содержащие персональные данные, на бумажных носителях или в электронном виде, создавать или использовать информационные ресурсы, систематизируя персональные данные в зависимости от категории Субъектов, персональные данные которых обрабатываются, совместимости целей и способов обработки их персональных данных.

4.6. Основаниями обработки персональных данных Оператором являются:

4.6.1. согласие Субъекта персональных данных на обработку его персональных данных, кроме тех случаев, когда законодательство разрешает обработку персональных данных по иным основаниям. Подобные иные основания также указаны ниже в настоящем разделе Положения.

Согласие Субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме, если законодательными актами не установлена необходимость получения согласия Субъекта персональных данных только в письменной форме или в виде электронного документа.

В иной электронной форме согласие Субъекта персональных данных может быть получено посредством:

• проставления Субъектом персональных данных соответствующей отметки на интернет-ресурсе (отметки/«галочки» о согласии в специально отведенном поле на Сайтах и в Информационных системах, нажатия кнопки «Принять» и иными аналогичными способами);
• указания (выбора) Субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
• других способов, позволяющих установить факт получения согласия Субъекта персональных данных;

4.6.2. договор, заключенный (заключаемый) с Субъектом персональных данных, в целях совершения действий, установленных этим договором;

4.6.3. необходимость защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных или иных лиц, если получение согласия Субъекта персональных данных невозможно;

4.6.4. осуществление обработки персональных данных в научных или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

4.6.5. осуществление обработки персональных данных для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

4.6.6. осуществление обработки персональных данных при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности Субъекта персональных данных в случаях, предусмотренных законодательством;

4.6.7. осуществление обработки персональных данных, указанных в документе, адресованном Оператору и подписанном Субъектом персональных данных, в соответствии с содержанием такого документа;

4.6.8. осуществление обработки распространенных ранее персональных данных до момента заявления Субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

4.6.9. необходимость выполнения обязанностей (полномочий), предусмотренных законодательными актами;

4.6.10. осуществление обработки персональных данных без согласия Субъекта в иных прямо предусмотренных Законом о защите персональных данных и иными законодательными актами случаях.

4.7. Обработка персональных данных работников Оператора осуществляется на основании положений Закона о защите персональных данных, Трудового кодекса Республики Беларусь и иных актов законодательства.

4.8. Обработка персональных данных, содержащихся в обращениях (заявлениях) граждан (Субъектов) или третьих лиц, в том числе прилагаемых к ним документах, поступивших непосредственно от граждан или направленных государственным органом, органом местного управления и самоуправления или иным юридическим лицом для рассмотрения по существу, осуществляется без получения Оператором согласия Субъектов на основании законодательства (Закона о защите персональных данных и Закона Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»).

4.9. Обработка персональных данных о бенефициарных владельцах Оператора осуществляется на основании законодательства о предотвращении легализации доходов, полученных преступным путем, и финансирования террористической деятельности и финансирования распространения оружия массового поражения без получения Оператором согласия данных Субъектов.

4.10. Юридические лица ЭПАМ и иные лица, получающие доступ к персональным данным на основании гражданско-правового договора, заключают с Оператором соглашение о безопасности персональных данных (в качестве отдельного документа или пункта/положений в договоре).

4.11. Сроки обработки персональных данных.

Обработка персональных данных осуществляется:

• до достижения цели обработки;
• в течение срока действия согласия на обработку персональных данных;
• до отзыва Субъектом согласия на обработку персональных данных;
• до заявления Субъектом требования о прекращении обработки персональных данных, если отсутствует иное законное основание для обработки персональных данных.

Конкретные сроки обработки и хранения персональных данных в зависимости от цели обработки указаны в Реестре обработки персональных данных, актуальная версия которого размещена по ссылке: https://www.epam.com/data-processing-policy-by/registry-of-epam-s-business-processes.

4.12. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать Субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством, договором, стороной которого является Субъект персональных данных или согласием Субъекта персональных данных.

После достижения цели обработки и/или истечения срока обработки персональные данные подлежат уничтожению.

Бумажные носители персональных данных уничтожаются путем измельчения в предназначенных для этого устройствах (шредеры).

С иных носителей (персональные компьютеры, серверы, иные электронные носители информации) персональные данные уничтожаются путем удаления без возможности восстановления.

Удаление (стирание) персональных данных из информационных систем персональных данных, из компьютерных файлов или на внешних перезаписываемых электронных носителях производится с использованием средств удаления (стирания) персональных данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов). При отсутствии (невозможности использования таких средств) удаление (стирание) персональных данных производится штатными средствами информационной системы персональных данных (персонального компьютера).

4.13. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Республики Беларусь.

4.14. В процессе сбора и обработки персональных данных Оператор принимает предусмотренные законодательством Республики Беларусь, локальными правовыми актами необходимые правовые, организационные и технические меры для защиты персональных данных Субъектов от незаконного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, предоставления, удаления, иных неправомерных действий. Подобные меры должны приниматься Оператором с момента, когда персональные данные были ему предоставлены Субъектом и до их уничтожения, обезличивания, если иное не определено Субъектом персональных данных.

4.15. Оператор принимает правовые меры по защите персональных данных в форме разработки, утверждения и применения локальных правовых актов, направленных на сбор, обработку и защиту персональных данных у Оператора.

4.16. Оператор принимает следующие организационные меры по защите персональных данных:

4.16.1. Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, и обеспечение реализации им установленных мер по защите персональных данных;

4.16.2. Ознакомление работников Оператора и иных лиц, осуществляющих обработку персональных данных, с нормами законодательства и локальными правовыми актами Оператора в области защиты персональных данных;

4.16.3. Проведение в установленных порядке и сроки обучения работников Оператора и иных лиц, осуществляющих обработку персональных данных;

4.16.4. Обеспечение функционального и территориального разграничения доступа работников и иных лиц, осуществляющих обработку персональных данных, к помещениям, рабочим местам, документам, информационным ресурсам и системам, техническим средствам, носителям информации, обеспечение условий для ограничения доступа к информации, содержащей персональные данные;

4.16.5. Организацию контроля доступа работников и иных лиц в помещения Оператора и их охраны;

4.16.6. Обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к Положению;

4.16.7. Применение, в случаях нарушения законодательства о защите персональных данных, мер дисциплинарного воздействия и иных мер, предусмотренных нормативными актами.

4.17. Оператор принимает меры по технической и криптографической защите персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

4.18. Оператор также обязан обеспечить:

• подтверждение информации о способе полученного от Субъекта согласия и условиях, при которых оно было дано;
• возможность отзыва согласия Субъекта персональных данных в электронной форме, если согласие Субъекта было получено в такой форме;
• фиксацию и хранение информации о предоставлении персональных данных третьим лицам. 

5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА. ОБЯЗАННОСТИ РАБОТНИКОВ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъекты персональных данных, Оператор осуществляют свои права, несут обязанности и ответственность в объеме и порядке, установленных законодательством Республики Беларусь.

5.2. Основные права Субъекта:

5.2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);

2) правовые основания и цели обработки персональных данных;

3) его персональные данные и источник их получения;

4) наименование и место нахождения Оператора, информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

5) срок, на который дано его согласие;

6) наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

7) о своих правах и обязанностях, механизме их реализации;

8) иную информацию, предусмотренную законодательством.

5.2.2. Субъект вправе требовать от Оператора внесения изменений в свои персональные данные, если персональные данные являются неполными, устаревшими или неточными, с приложением соответствующих документов и/или их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

5.2.3. Субъект вправе требовать от Оператора бесплатного прекращения обработки персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством.

5.2.4. Субъект вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

5.2.5. Субъект вправе в любое время без объяснения причин отозвать данное им Оператору согласие на обработку персональных данных в порядке, установленном законодательством. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора).

5.2.6. Субъект вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.

5.2.7. Для реализации прав, указанных в подп. 5.2.1, 5.2.2, 5.2.3, 5.2.5, 5.2.6 Положения, субъект персональных данных подает Оператору заявление в письменной форме по адресу: Республика Беларусь, г. Минск, 220084, ул. Академика Купревича, д. 1, корп. 1, комн. 110, адрес электронной почты: [email protected], или посредством государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел), а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

Оператор не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (телефон, факс, устно и т.п).

Законодательными актами может быть предусмотрена обязательность личного присутствия Субъекта и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.

5.2.8. Оператор после получения от Субъекта заявления обязан в установленные законодательством сроки предоставить Субъекту запрашиваемую информацию, совершить соответствующие действия по обработке персональных данных, либо, при наличии к этому предусмотренных законодательством оснований отказать в предоставлении информации либо в совершении соответствующих действий.

5.2.9. За содействием в реализации прав, связанных с обработкой персональных данных Оператором, субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес: [email protected].

5.3. Основные обязанности Субъекта:

5.3.1. Субъект обязан соблюдать Конфиденциальность персональных данных и не допускать разглашения персональных данных других Субъектов, которые стали ему известны в связи с существованием трудовых, гражданско-правовых отношений с Оператором, прохождением практики у Оператора, посещением офисов Оператора, проведением переговоров с Оператором, получением таких персональных данных или доступа к ним от Оператора, осуществлением любого иного взаимодействия с Оператором.

5.3.2. Соблюдать требования действующего законодательства, настоящего Положения и локальных актов Оператора.

5.3.3. При предоставлении Оператору персональных данных третьих лиц (включая, но не ограничиваясь, своих родственников, представителей своих нанимателей и клиентов/контрагентов, кандидатур соискателей по вакансиям Оператора, иных лиц) предварительно получить от этих третьих лиц свободное, однозначное, информированное согласие на такое предоставление.

5.4. Основные права Оператора:

5.4.1. Оператор вправе осуществлять обработку персональных данных, как с использованием средств автоматизации, так и без их использования, в соответствии с действующим законодательством и условиями предоставленных Субъектами согласий на обработку персональных данных, в том числе осуществлять предоставление персональных данных Субъектов третьим лицам и трансграничную передачу персональных данных.

5.4.2. Оператор вправе осуществлять обработку персональных данных без согласия Субъекта в случаях, предусмотренных Законом о защите персональных данных и другими актами законодательства.

5.4.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора.

5.4.4. Оператор вправе расторгнуть трудовой договор со своим работником в случае нарушения работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления, персональных данных.

5.4.5. Оператор имеет право осуществлять проверку точности, достоверности и актуальности предоставляемых персональных данных в случаях, объеме и порядке, предусмотренных законодательством Республики Беларусь.

5.4.6. Оператор вправе отказать Субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Субъекта персональных данных в пятнадцатидневный срок.

5.5. Основные обязанности Оператора:

5.5.1. Получать согласие Субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

5.5.2. Предоставлять Субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;

5.5.3. Разъяснять Субъекту персональных данных его права, связанные с обработкой персональных данных, в том числе при получении согласия на обработку Персональных данных;

5.5.4. Обеспечивать защиту персональных данных в процессе их обработки;

5.5.5. Прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

5.5.6. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

5.5.7. Осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

5.5.8. Исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о защите персональных данных;

5.5.9. Вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных.

5.5.10. Оператор обязан обеспечить неограниченный доступ к настоящему Положению, в том числе с использованием глобальной компьютерной сети Интернет, в частности, путем:

1) размещения актуальной версии указанного документа на сайте в сети Интернет по адресу: https://www.epam.com/data-processing-consent-by;

2) хранения его актуальной бумажной версии в офисах по месту нахождения Оператора, с которой можно ознакомиться в рабочее время работы офиса (с 9.00 до 18.00).

5.5.11. Оператор обязан бесплатно (за исключением случаев, предусмотренных законодательными актами) предоставить Субъекту персональных данных в доступной форме информацию, касающуюся обработки персональных данных Субъекта, либо уведомить Субъекта о причинах отказа в предоставлении такой информации в течение 5 (пяти) рабочих дней с даты получения заявления Субъекта персональных данных, направленного в порядке, установленном подп. 5.2.7 Положения, если иной срок не установлен законодательными актами;

5.5.12. В срок, не превышающий 15 (пятнадцать) дней со дня получения заявления Субъекта персональных данных, направленного в порядке, установленном подп. 5.2.7 Положения, о внесении изменений в персональные данные Субъекта, которые являются неполными, устаревшими или неточными, Оператор обязан внести в персональные данные Субъекта необходимые изменения и уведомить об этом Субъекта персональных данных или уведомить Субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;

5.5.13. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан в пятнадцатидневный срок после получения заявления Субъекта персональных данных в соответствии с его содержанием прекратить их обработку, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные настоящим Законом и иными законодательными актами. При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Субъекта персональных данных в тот же срок;

5.5.14. Оператор обязан в пятнадцатидневный срок после получения заявления Субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого Субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить Субъекта персональных данных о причинах отказа в ее предоставлении;

5.5.15. Оператор в случае получения от Субъекта требования прекращения обработки персональных данных обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом Субъекта персональных данных. При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Субъекта персональных данных в тот же срок;

5.5.16. Оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;

5.5.17. Оператор обязан не реже одного раза в пять лет организовывать прохождение обучения по вопросам защиты персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных, и лицами, непосредственно осуществляющими обработку персональных данных;

5.5.18. Оператор не позднее ноября текущего года обеспечивает представление Национальному центру защиты персональных данных информации о количестве лиц, которым необходимо пройти обучение в Национальном центре защиты персональных данных;

5.5.19. Оператор устанавливает и поддерживает в актуальном состоянии: а) перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых Оператор является; б) категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); персональные данные, не являющиеся общедоступными или специальными; в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами; г) сроки хранения обрабатываемых персональных данных; д) перечень Юридических лиц ЭПАМ.

5.5.20. Оператор обязан ознакомить своих работников, уполномоченных лиц и иных лиц, которые непосредственно обрабатывают персональные данные, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также документами, определяющими политику Оператора в отношении обработки персональных данных.

5.5.21. Оператор исполняет иные обязанности, предусмотренные действующим законодательством.

5.6. Все работники Оператора при обработке персональных данных обязаны использовать все необходимые и утвержденные Оператором правовые, технические и организационные меры для защиты персональных данных, соблюдать требования законодательства Республики Беларусь в области защиты персональных данных, выполнять обязанности, предусмотренные Положением и локальными правовыми актами Оператора.

5.7. Генеральный директор Оператора приказом назначает из числа работников Оператора лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (далее – «Ответственное лицо»). До момента назначения или в случае отсутствия назначения Ответственного лица ответственность за осуществление внутреннего контроля за обработкой персональных данных несет Генеральный директор Оператора.

5.8. Правовое положение Ответственного лица и работников, допущенных к обработке персональных данных, определяется законодательством Республики Беларусь, Положением и иными локальными правовыми актами Оператора.

5.9. На Ответственное лицо возлагаются следующие функции:

5.9.1. организационные:

• изучение и анализ процессов обработки персональных данных,
• осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства Республики Беларусь о защите персональных данных, в том числе требований к защите персональных данных, обеспечение соответствия процесса обработки персональных данных Оператором законодательству Республики Беларусь и Положению;
• определение рисков, связанных с процессами обработки персональных данных, выработка предложений по их минимизации,
• разработка и поддержание в актуальном состоянии документов, определяющих политику оператора в отношении обработки персональных данных, порядка доступа к персональным данным, иных документов (форм) по вопросам обработки персональных данных,
• разработка формы реестра персональных данных и координация его ведения, участие в определении и осуществлении мер технической и криптографической защиты персональных данных;
• организация приема и обработки обращений и запросов Субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;
• реализация мер, необходимых для обеспечения при хранении материальных носителей персональных данных условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
• актуализация списка Юридических лиц ЭПАМ;

5.9.2. консультативные:

• консультирование работников и Уполномоченных лиц по вопросам обработки и защиты персональных данных,
• согласование локальных правовых актов, договоров на предмет их соответствия законодательству о персональных данных,
• ознакомление работников Оператора положений законодательства Республики Беларусь о защите персональных данных, настоящего Положения и иных локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

5.9.3. контрольные:

• осуществление контроля за своевременным внесением работниками изменений в персональные данные, которые являются неполными, устаревшими или неточными, прекращением обработки персональных данных, а также осуществлением их удаления или блокирования при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;
• проведение мониторинга (проверки) соблюдения требований законодательства о персональных данных в структурных подразделениях организации для выявления нарушений и предупреждения их возникновения,
• изучение фактов нарушения работниками требований к обработке персональных данных, внесение предложений по привлечению виновны
• своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Оператора;
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• обеспечение возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.9.4. информационно-образовательные:

• организация прохождения обучения работников, осуществляющих обработку персональных данных, по вопросам обработки и защиты персональных данных в порядке, установленном законодательством, поиск оптимальных форм этого обучения, исходя
  из их трудовых функций;

5.9.5. иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных:

• рассмотрение (участие в рассмотрении) заявлений и жалоб Субъектов персональных данных по вопросам обработки персональных данных, принятие необходимых мер по восстановлению их нарушенных прав,
• обеспечение взаимодействия с Национальным центром защиты персональных данных, в том числе по вопросам уведомления о нарушениях систем защиты персональных данных, исполнения требований по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

5.10. Ответственное лицо получает указания непосредственно от Генерального директора Оператора и подотчетно ему.

5.11. Оператором устанавливается следующий порядок доступа к персональным данным для работников Оператора:

5.11.1. Перечень должностей работников (структурных подразделений) Оператора, которым предоставлен доступ к персональным данным при исполнении трудовых обязанностей, содержится в Реестре обработки персональных данных и Положении о порядке доступа к персональным данным в ИООО «ЭПАМ Системз».

5.11.2. Доступ иным работникам Оператора может предоставляться для целей продвижения услуг (работ) Оператора, поиска персонала или контрагентов, предоставления иных услуг, для надлежащего оказания которых необходим доступ к персональным данным; в целях исполнения работниками своих должностных обязанностей, для достижения иных целей, предусмотренных Положением или законодательством Республики Беларусь.

5.12. Работники Оператора, имеющие доступ к персональным данным, вправе принимать участие в обучении по вопросам защиты персональных данных при их обработке, организуемом Ответственным лицом.

5.13. Работники Оператора, имеющие доступ к персональным данным, обязаны:

5.13.1. осуществлять сбор и обработку персональных данных способами и в порядке, определенных Положением и законодательством о защите персональных данных, непосредственно выполнять обязанности, указанные в п. 5.13 Положения;

5.13.2. не передавать (в любом виде и любыми способами) и не разглашать третьим лицам и работникам Оператора, не имеющим право на получение такой информации в силу выполняемых ими трудовых обязанностей или в соответствии с решением Генерального директора Оператора, информацию, содержащую персональные данные (за исключением собственных данных), которая доверена или стала известной в связи с исполнением трудовых обязанностей, соблюдать режим секретности (конфиденциальности) в отношении указанной информации;

5.13.3. в случае попытки третьих лиц или работников Оператора, не имеющих на это право, получить информацию, содержащую персональные данные (за исключением информации, непосредственно касающейся этих лиц), немедленно сообщать об этом факте своему непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или Ответственному лицу или Генеральному директору;

5.13.4. получать только ту информацию, содержащую персональные данные, которая необходима для выполнения конкретных функций в рамках трудовых обязанностей работника, не использовать информацию, содержащую персональные данные, с какой-либо иной целью кроме как в целях, для которых работнику был предоставлен доступ к персональным данным;

5.13.5. обеспечивать сохранность материальных и иных носителей персональных данных, предотвращать утечку персональных данных или их неправомерное использование, немедленно докладывать непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или Ответственному лицу или Генеральному директору о фактах несанкционированного разглашения информации, содержащей персональные данные, или потери материальных носителей с информацией, содержащей персональные данные, ключей от помещений, тумб, шкафов, сейфов, где хранится информация, содержащая персональные данные, личных идентификаторов доступа;

5.13.6. выполнять требования Трудового кодекса Республики Беларусь, Закона о защите персональных данных, а также настоящего Положения и иных внутренних (локальных) документов Оператора и нормативных правовых актов Республики Беларусь, регламентирующих вопросы защиты интересов Субъектов персональных данных, порядка обработки и защиты персональных данных;

5.13.7. после прекращения права на допуск к информации, содержащей персональные данные (изменение трудовой функции на не предусматривающую доступ к персональным данным, или прекращение трудового договора), прекратить обработку персональных данных, ставших известными в связи с исполнением трудовых обязанностей, и не обрабатывать, не разглашать и не передавать (в любом виде и любыми способами) третьим лицам и не уполномоченным на это работникам Оператора известную информацию, содержащую персональные данные, своевременно передать руководителю или Ответственному лицу носители информации, содержащие сведения о персональных данных, технические средства для работы с этой информацией, полученные или созданные лично или совместно с другими работниками при исполнении трудовых обязанностей и (или) которые были предоставлены в пользование работнику;

5.13.8. осуществлять систематический мониторинг документов, информационных систем, компьютерных файлов, внешних электронных носителей, иных материальных носителей, содержащих персональные данные, используемые работником в целях выполнения должностных обязанностей, и уведомлять своего непосредственного или (в случае отсутствия непосредственного) вышестоящего руководителя или Ответственное лицо об истечении сроков обработки и хранения таких персональных данных, предусмотренных в настоящем Положении, нормативных актах, заключенных договорах или о наступлении иных законных оснований для прекращения обработки таких персональных данных, ставших известными работнику;

5.13.9. при сборе и обработке персональных данных обеспечить получение согласия Субъекта на сбор и обработку персональных данных (сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления), а если оно не было получено ранее – обеспечить такое получение;

5.13.10. в процессе сбора и обработки Персональных данных осуществлять соответствующие действия, предусмотренные Положением и законодательством о защите персональных действий, адекватные цели и характеру способа обработки персональных данных;

5.13.11. По истечении срока обработки Персональных данных прекратить обработку персональных данных (включая их хранение), а также осуществить их удаление или блокирование, если отсутствуют иные основания для обработки персональных данных, предусмотренные законодательством.

5.13.12. Обеспечить ведение учета обрабатываемых персональных данных и совершения действий по их обработке, включая передачу третьим лицам и трансграничную передачу персональных данных на территорию иностранных государств в порядке, предусмотренном Положением и законодательством о защите персональных данных.

5.13.13. Осуществлять информирование работников иных структурных подразделений о необходимости совершения соответствующих действий по обработке персональных данных, если такое информирование необходимо для обработки Персональных данных.

6. УПОЛНОМОЧЕННЫЕ ЛИЦА. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор вправе поручить обработку персональных данных другому лицу (уполномоченному лицу) на основании заключаемого с этим уполномоченным лицом договора.

6.2. Персональные данные Субъектов могут обрабатываться уполномоченными лицами, оказывающими Оператору курьерские, бухгалтерские услуги, услуги по хранению данных, услуги по подбору персонала и т.п.

6.3. Уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные Законом о защите персональных данных и иными актами законодательства.

6.4. В договоре между Оператором и уполномоченным лицом определяется перечень персональных данных, перечень действий с персональными данными, которые будут совершаться уполномоченным лицом, цели и правовые основания обработки персональных данных, обязанности по соблюдению конфиденциальности персональных данных, меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона о защите персональных данных.

6.5. Уполномоченное лицо не обязано получать согласие Субъекта персональных данных. Если для обработки персональных данных по поручению оператора необходимо получение согласия Субъекта персональных данных, такое согласие получает Оператор. В этом случае ответственность перед Субъектом персональных данных за действия Уполномоченного лица несет Оператор. Уполномоченное лицо, в свою очередь, несет ответственность перед Оператором.

6.6. Оператор осуществляет ведение списка/реестра уполномоченных лиц, в котором содержится информация относительно уполномоченных лиц, обрабатывающих персональные данные по поручению Оператора, их наименований и местонахождения.

 6.7. Оператор осуществляет трансграничную передачу персональных данных в адрес Юридических лиц ЭПАМ. Перечень юридических лиц ЭПАМ (размещенный по ссылке и QR-коду, указанным в подп. 1.9.4 Положения) содержит наименование лиц в иностранных государствах, которым персональные данные могут быть переданы, с указанием адреса для связи с ними, и страны, на территории которых находятся такие лица.

6.8. Трансграничная передача персональных данных на территорию иностранного государства осуществляется Оператором на следующих условиях:

6.8.1. если на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – то без ограничений при наличии правовых оснований, предусмотренных Законом о персональных данных;

6.8.2. если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – то в случаях, предусмотренных ст. 9 Закона о персональных данных, в том числе:

• когда дано согласие Субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
• при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
• когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

6.9. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется соответствующим приказом Национального центра защиты персональных данных Республики Беларусь.

7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
В СВЯЗИ С ВИДЕОНАБЛЮДЕНИЕМ

7.1. Видеонаблюдение в помещениях Оператора осуществляется в целях обеспечения личной безопасности Субъектов персональных данных и сохранности имущества Оператора и Субъектов персональных данных, в соответствии с Указом Президента Республики Беларусь от 28.11.2013 № 527 «О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка» и Постановлением Совета Министров Республики Беларусь от 30.12.2013 № 1164 «О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности».

Обработка персональных данных в связи с осуществлением видеонаблюдения производится на основании абзаца 8 статьи 6 Закона о защите персональных данных (при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством), абзаца 20 статьи 6 Закона о защите персональных данных (в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами).

7.2. Видеонаблюдение ведется Оператором в помещениях (офисах) Оператора круглосуточно и непрерывно при помощи камер открытого видеонаблюдения.

Камеры видеонаблюдения устанавливаются в открытых для общего доступа местах (как правило, в коридорах и холлах, кабинетах с выходами/входами на улицу или лестницы). В иных помещениях Оператора, в том числе предназначенных для личных нужд работников (таких как туалетные комнаты, душевые, комнаты для переодевания, комнаты отдыха), видеонаблюдение не ведется.

Таблички с предупреждением о ведении видеонаблюдения (видеосъемки) должны размещаться до входа в зону (помещение, часть помещения), которая снимается на видео.

7.3. Видеонаблюдение не используется для:

• учета рабочего времени, фактически отработанного работниками Оператора;
• уникальной идентификации лиц, изображенных на видеозаписи;
• записи звука.

Система видеонаблюдения, действующая на территории Оператора, не используется для идентификации Субъектов, а полученные видеоматериалы не относятся к биометрическим персональным данным.

7.4. Записи систем видеонаблюдения (видеосъемки) хранятся на жестком диске записывающего устройства в месте нахождения Оператора (в офисах Оператора, его филиалов, где производится видеосъемка) в течение не менее 30 (тридцати) дней и не более 90 дней (в зависимости от технической возможности оборудования в конкретном офисе), после чего записи автоматически уничтожаются, если иной срок хранения не установлен в действующем законодательстве Республики Беларусь.

Если получена информация о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, уголовного преступления, по устному поручению генерального директора Оператора (лица, исполняющего его обязанности) для таких видеозаписей срок хранения может быть продлен на период проведения соответствующих мероприятий.

7.5. Видеозаписи не могут быть использованы работниками в личных и иных целях, не связанных с профессиональной деятельностью, и не подлежат изменению, использованию, распространению и предоставлению, кроме случаев, предусмотренных законодательными актами.

7.6. Доступ к записям систем видеонаблюдения (видеосъемки) предоставляется только работникам Оператора, которым он необходим для выполнения возложенных на них трудовых функций, а также иным лицам в соответствии с законодательством Республики Беларусь.

7.7. Субъект персональных данных при их обработке в связи с видеонаблюдением имеет права, определенные в главе 5 настоящего Положения.

Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в помещениях Оператора, субъект персональных данных подает Оператору заявление в письменной форме или в виде электронного документа по электронной почте (контактные данные указаны в п. 1.1 Положения).

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

В связи с тем, что видеонаблюдение не используется Оператором для уникальной идентификации лиц, изображенных на видеозаписи, а срок хранения видеозаписей составляет от 30 до 90 дней, если иное не определено в части второй подп. 7.4 Положения, изложение сути требований субъекта персональных данных должно содержать дату и период времени записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.

7.8. Оператор не рассматривает заявления субъектов персональных данных, которые не соответствуют требованиям подп. 7.7 Положения, в том числе направленные иными способами (устно, телефон, факс и т.п.).

7.9. За содействием в реализации прав, связанных с обработкой персональных данных при осуществлении видеонаблюдения Оператором, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, в том числе направив сообщение на адрес электронной почты: [email protected].

8. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ В ОБЛАСТИ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. При обработке персональных данных работники Оператора обязаны использовать все необходимые и утвержденные Оператором правовые, технические и организационные меры для защиты персональных данных, соблюдать требования законодательства Республики Беларусь и локальных правовых актов Оператора в области защиты персональных данных.

8.2. Субъект, предоставляющий персональные данные Оператору, несет ответственность за их точность, достоверность, актуальность и наличие всех необходимых прав, разрешений и полномочий на их предоставление.

8.3. Субъект персональных данных в случаях, установленных нормативными актами, несет предусмотренную законодательством административную и уголовную ответственность за правонарушения в области защиты персональных данных.

8.4. Оператор, работники Оператора несут гражданско-правовую, дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь за нарушение требований, предусмотренных законодательством Республики Беларусь, Положением, локальными правовыми актами Оператора в области защиты персональных данных.

8.5. Контроль за исполнением настоящего Положения возложен на Ответственное лицо.

8.6. Внутренние проверки соблюдения настоящего Положения и законодательства в области персональных данных проводятся в соответствии с локальными правовыми актами Оператора.